Skip to content
SERVICIOS

Ámbito De Aplicación Directiva NIS2. A cargo de Iciar López-Vidriero Tejedor

Deja un comentario / Árbol del derecho, Otras ramas, Revista seriada / Por

AD 23/2023

Ámbito de aplicación Directiva NIS2

 

RESUMEN

Tras la reciente publicación de la Directiva NIS2 y antes de que la misma se vea traspuesta en España, he considerado interesante facilitar un pequeño resumen del ámbito de aplicación de la presente Directiva que se encuentra encaminada a establecer principalmente obligaciones de ciberseguridad para los Estados miembros mediante medidas destinadas a garantizar un elevado nivel común de ciberseguridad, así como para mejorar el funcionamiento del mercado interior.

SUMMARY

Following the recent publication of the NIS2 Directive and before it is transposed in Spain, I thought it would be interesting to provide a brief summary of the scope of this Directive, which is mainly aimed at establishing cybersecurity obligations for Member States through measures to ensure a high common level of cybersecurity, as well as to improve the functioning of the internal market.

PALABRAS CLAVE:

NIS2 – NIS 1 – Ciberseguridad – RGPD – Compliance – DORA- CSIRT – Gobernanza – Cadena de suministro – Incidente – Multa – Supervisión – Punto único

KEY WORDS

NIS 2 – NIS 1 – Cybersecurity – Compliance – DORA – CSIRT – Governance – Supply chain – Incident – Fine – Oversight – Single point

El 27 de diciembre de 2022 se publicó la Directiva (UE) 2022/2555, conocida como NIS2, que establece principalmente obligaciones de ciberseguridad para los Estados miembros (todos los países del Espacio Económico Europeo) estableciendo medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión.

Atendiendo que estamos hablando de una Directiva, el plazo para la transposición de la misma para los países del EEE es el 17 de octubre de 2024, momento en el cual los Estados miembros adoptarán y publicarán las medidas necesarias para dar cumplimiento a lo establecido en la presente Directiva, siendo de aplicación estas a partir de 18 de octubre de 2024.

Debemos tener en cuenta que la presente Directiva NIS2 deroga la anterior Directiva (UE) 2016/1148 (NIS 1) con efectos a partir del 18 de octubre de 2024, además de realizar modificaciones en dos normativas europeas:

  • Se suprime el artículo 19 del Reglamento (UE) 910/2014 con efectos a partir del 18 de octubre de 2024.
  • Se suprimen los artículos 40 y 41 Directiva (UE) 2018/1972 con efectos a partir del 18 de octubre de 2024.

De igual forma y siguiendo el actual criterio la Directiva NIS2 hace un aumento exponencial de considerandos, siendo estos el doble que los que ya introdujera la NIS1, 145 Considerandos frente a las 75 Considerando de la Directiva del 2016.

 

Objetivos

Los objetivos de la NIS2 es alcanzar un elevado nivel común de ciberseguridad mediante:

  • Obligaciones que requieren que se adopten estrategias nacionales de ciberseguridad y designen o establezcan autoridades competentes, autoridades de gestión de crisis de ciberseguridad, puntos de contacto únicos sobre ciberseguridad y equipos de respuesta a incidentes de seguridad (CSIRT)
  • Medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación.
  • Normas y obligaciones relativas al intercambio de información sobre ciberseguridad;
  • Obligaciones de supervisión y ejecución para los Estados miembros.

Esta Directiva apuesta por esquemas de certificación y normas técnicas que ayuden a conseguir ese nivel común.

A quienes afecta

La presente Directiva aplica a dos sectores, que los define como sectores de alta criticidad y otros sectores críticos, siendo estos los siguientes:

 

SECTORES DE ALTA CRITICIDAD OTROS SECTORES CRÍTICOS
Energía (Electricidad, Sistemas Urbanos de calefacción y refrigeración, Crudo, Gas, Hidrógeno) Servicios postales y de mensajería
Transporte (aéreo, ferrocarril, marítimo y fluvial, por carretera) Gestión de residuos
Banca (DORA se aplica con prioridad al ser normativa específica) Fabricación, producción y distribución de sustancias y mezclas químicas
Infraestructuras de los mercados financieros (DORA se aplica con prioridad al ser normativa específica) Producción, transformación y distribución de alimentos
Sector sanitario Fabricación
Agua potable Proveedores de servicios digitales
Aguas residuales Investigación
Infraestructura digital  
Gestión de servicios TIC (de empresa a empresa)  
Entidades de la Administración pública, con exclusión del poder judicial, los parlamentos y los bancos centrales  
Espacio  

Como se indica en la tabla habrá que tener en cuenta que dentro de los sectores de alta criticidad se encuentran la Banca y las Infraestructuras de los mercados financieros, si bien a estos sectores les será de aplicación prioritaria, el Reglamento DORA (Reglamento (UE) 2022/2554), al ser esta la norma específica para dicho sector, aplicándose NIS 2 en todo aquello que no sea de aplicación DORA.

De igual forma, hay que tener en cuenta la Directiva NIS2 no será de aplicación de forma expresa a:

  • Las entidades de la Administración pública que lleven a cabo sus actividades en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la garantía del cumplimiento de la ley, incluidas la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales.
  • Los Estados miembros podrán eximir a las entidades específicas que llevan a cabo actividades en los ámbitos de la defensa, la seguridad nacional, la seguridad pública o la garantía del cumplimiento de la ley, incluidas las actividades relativas a la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales, o que prestan servicios exclusivamente a entidades de la Administración pública.

Además de los sectores de alta criticidad y otros sectores críticos, la Directiva los distingue además en Esenciales e Importantes, pudiendo decir a grandes rasgos que las importantes serán aquellos que no se encuentren encuadrados en los esenciales (medianas empresas), siendo los esenciales (grandes empresas) los siguientes:

  • Entidades pertenecientes al sector de alta criticidad que sean grandes (superen los límites máximos previstos en el artículo 2.1 del anexo de la Recomendación 2003/361/CE para las medianas empresas).
  • Prestadores cualificados de servicios de confianza y registros de nombres de dominio de primer nivel, así como proveedores de servicios de DNS, independientemente de su tamaño.
  • Proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles para el público que sean consideradas medianas empresas.
  • Entidades de la Administración pública central.
  • Cualquier otra entidad que así sea nombrada como esencial por el Estado.
  • Las entidades críticas (PIC)

Tal y como se observa se puede concluir que esta Directiva NIS 2 le es de aplicación a grandes y medianas empresas, quedando en rasgos generales excluidas de su aplicación a las pequeñas empresas.

 

A tener en cuenta

Hay muchas novedades que debemos tener en cuenta respecto a esta Directiva si bien a continuación sólo voy a incluir las que considero más importantes dejando para futuros artículos un estudio más profundo de la Directiva:

  • La presente Directiva establece requisitos para los Estados Miembros (países del EEE) siendo estos entre otros; establecer una Estrategia nacional de ciberseguridad, tener equipos de respuesta a incidentes de seguridad informática (CSIRT), marcos nacionales de gestión de crisis, puntos de contacto únicos y divulgación coordinada de las vulnerabilidades.
  • Los Estados miembros deben contribuir al establecimiento del Marco de respuesta a las crisis de ciberseguridad de la UE a través de las redes de cooperación existentes, en particular la Red europea de organizaciones de enlace nacionales para las crisis de ciberseguridad, (EU-CyCLONe), la red de CSIRT y el Grupo de Cooperación.
  • Los órganos de administración de las entidades esenciales e importantes deben aprobar las medidas de gestión de riesgos de ciberseguridad adoptadas por dichas entidades, supervisar su implementación y responder por el incumplimiento por parte de las entidades.
  • La formación se considera un pilar y una obligación para los miembros de los órganos de dirección de las entidades esenciales e importantes.
  • Las entidades esenciales e importantes deben tomar medidas técnicas, operativas y organizativas apropiadas y proporcionadas para gestionar los riesgos planteados para la seguridad de las redes y los sistemas de información que esas entidades utilizan para sus operaciones o para la prestación de sus servicios, y para prevenir o minimizar el impacto de las incidencias en los destinatarios de sus servicios y en otros servicios.
  • Al igual que sucede con el RGPD hay que tener en cuenta las entidades no pertenecientes a la UE les será de aplicación la Directiva NIS2 cuando ofrezca sus servicios dentro de la UE, debiendo además designar un representante en la UE que tendrá que estar establecido en uno de los Estados miembros en los que se ofrezcan los servicios.
  • Se debe hacer frente a los riesgos de ciberseguridad provenientes de la cadena de suministro de una entidad y su relación con sus proveedores. Debe fomentarse que las entidades esenciales e importantes incorporen medidas para la gestión de riesgos de ciberseguridad en los acuerdos contractuales con sus proveedores y prestadores de servicios directos.
  • Cuando las entidades esenciales o importantes tengan conocimiento de un incidente significativo, deben estar obligadas a presentar una alerta temprana sin demora indebida y, en cualquier caso, en el plazo de 24 horas. Se podrá solicitar asistencia al CSIRT cuando se produzca una alerta temprana. Estableciéndose un plazo máximo de 1 mes para la emisión del informe final. En el caso que se trate de un incidente significativo el plazo será de 72 horas para su comunicación.

Debemos tener en cuenta que las medidas impuestas por la Directiva, tanto en materia de gobernanza, medidas para la gestión de riesgos, cadena de suministro,  notificaciones de incidencias y supervisión van a conllevar un importante desembolso de dinero e infraestructura por parte de las empresas, por lo que habrá que estarse expectantes de su trasposición y no perder de vista las sanciones previstas por la NIS 2 que van en el hilo del RGPD:

  • Esenciales: 10 Millones de Euros o 2% del volumen de negocios global.
  • Importantes: 7 Millones de Euros o el 1,4% del volumen de negocios global.

Pudiendo prever cada Estado miembro la facultad de imponer multas coercitivas para obligar a una entidad esencial o importante a poner fin a un incumplimiento de la NIS 2

Iciar López-Vidriero Tejedor

24 de mayo de 2023

BREVE CURRICULAR

Iciar López-Vidriero Tejedor es abogada colegiada del ICAM. Lead Auditor 27001. Delegada de Protección de Datos. Miembro de la APEP y perteneciente a su claustro de profesores. Quartermaster en España de la EADPP – European Association of Data Protection Professionals. Auditora en Entornos Tecnológicos (AAULETEC). Con más de 17 años de experiencia en el sector, asesorando empresas a nivel nacional, europeo e internacional. Evaluadora y creadora de los contenidos del examen de certificación de Delegado de Protección de Datos de una de las entidades acreditadas para su certificación. Formadora en diferentes cursos para la obtención de la certificación de delegado de protección de datos según el esquema de la Agencia Española de Protección de Datos y en titulaciones universitarias relacionadas con la tecnología y el derecho, entre otras Universidad Carlos III y Universidad Internacional de Andalucía.

Autora: Iciar López-Vidriero Tejedor

Redes sociales

Twitter:  @ICIARLVT

Linkedin: Iciar López-Vidriero

En Madrid a 23 de mayo de 2023

 

 

Deja un comentario

A %d blogueros les gusta esto: